1.企业在互联网资产管理和攻击面收敛方面有什么好的方式方法,包括使用哪些流程制度和技术措施?
2.漏洞算不算资产?
3.作为企业攻击面收敛的方式之一“SSLVPN”被企业大量使用,不过SSLVPN产品本身也会存在安全隐患,对此大家有什么好的解决或替代方案?
A1:
定期排查外部资产开放情况并进行渗透测试、攻防演练等检查,关闭不必要对外开放的系统,使用SDP进行收敛暴露面。
A2:
定期对企业的资产进行扫描,识别开放情况。关于端口,可以用LB、防火墙来映射端口,而不是直接给主机配公网IP,避免开放一些不必要的端口。
A3:
能不对外就不对外,能用堡垒机就用堡垒机。
A4:
对企业网络进行合理的拓扑设计和优化,减少网络暴露面和攻击路径。实施严格的权限管理和访问控制机制,包括用户权限控制、访问策略和身份认证等,限制非授权访问。定期进行漏洞扫描和安全评估,及时修复漏洞,减少攻击面。建立有效的安全策略和防护措施,包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等,降低攻击风险。
A5:
直接接管边界,所有公网进出策略由安全负责管理,退一步,也要走审核流程与定期排查。攻击面靠漏扫服务与渗透测试。
A6:
开放公网出口要有流程、有记录,公网系统上线起码要做漏扫,对公网出口做定期的资产扫描。
A7:
假如互联网出口固定,可以进行出口管控;公司规模很大的话就制定制度让各级单位定期报送资产信息,同时开展外网资产主动探测,减小盲区。
A8:
最科学的还是从根本上完善整系统开发生命周期管理流程 开发过程中调了哪些服务端口,投入运行后进行了哪些变更,然后动态更新资产信息只是现实很骨感,很多都是历史遗留问题,不知道都换了几波人了,老系统当年的管理也没那么规范, 所以感觉互联网资产总是难梳理全。
A9:
互联网资产主动发现所以也很重要,就是发现的数据太多脏数据了,经常爬下来一堆脏数据。
A10:
这个表基本满足需求。
至于说要用什么系统、什么工具(比如资产扫描、资产探测、可用性监测、异常扫描、CMDB)都只是方式了。
暴露面分析,核心还是遵循必要性和最小权限原则 ,另外如果有能力,对DNS/边界、入口、互联网IP地址等方面进行严格控制(如审批、监控、流量分析等) ,同时 可以基于业务进行转移(漂移) ,如端口转换换、协议转换, https加密,身份认证等) 具体技术就包括了VPN/SDWAN/零信任/sase/代理/资源门户/网关/dns转发等多种方式。
最近正好在做这方面的分析。
A11:
个人觉得企业资产风险面收敛应该按照资产流量访问的维度划分,通过不同的方式来进行管控约束。
一、对互联网公开资产
(1)增量资产
对于对外开放的增量资产,理论上建议通过运维侧收口。资产、IP、域名、资产归属的申请分配需通过流程审批记录在案,通过CMDB等系统对于资产信息进行记录回溯。
(2)存量资产
对于对外开放的存量资产,可通过采集原有运维团队的台账记录,访谈、收集已知资产业务归属部门台账,梳理已有网络策略,对于有主资产进行标记记录到台账,对于无主资产,在进行评估和向上申请审批后,限时关闭认领。然后以资产、IP、域名、资产归属等颗粒度录入到CMDB,直至相关增量,存量资产全部覆盖。
(3)管理制度
制度上定义资产全生命周期管理的必要性,资产的新增到销毁需通过OA流程进行审批闭环,并安排专岗专人对资产台账进行及时更新
(4)漏洞扫描&&渗透测试
周期性安排安全人员对互联网公开资产进行漏洞扫描、渗透测试,并以红线要求业务归属部门限时完成漏洞的修复,保证资产风险可控。
二、企业内部可访问资产
(1)增量资产
对于企业内部可访问的增量资产,理论上建议通过运维侧收口。资产、IP、域名、资产归属的申请分配需通过流程审批记录在案,通过CMDB等系统对于资产信息进行记录回溯。
(2)存量资产
对于企业内部可访问的存量资产,可通过采集原有运维团队的台账记录,访谈、收集已知资产业务归属部门台账,梳理已有网络策略,对于有主资产进行标记记录到台账,对于无主资产,在进行评估和向上申请审批后,限时关闭认领。然后以资产、IP、域名、资产归属等颗粒度录入到CMDB,直至相关增量,存量资产全部覆盖。
(3)管理制度
制度上定义资产全生命周期管理的必要性,资产的新增到销毁需通过OA流程进行审批闭环,并安排专岗专人对资产台账进行及时更新
(4)网络策略
理论上,建议企业内部资产实施白名单策略,非必须不对外。如果因业务联调等特别需求,需经过安全部门安全评估和渗透测试,需求部部门发起流程申请,由运维部门记录并开通相关网络策略,确保对外联调等特殊需求记录在案,风险可控。
(5)漏洞扫描&&渗透测试
周期性安排安全人员对互联网公开资产进行漏洞扫描、渗透测试,并以红线要求业务归属部门限时完成漏洞的修复,保证资产风险可控。
三、暗资产
(1)企业主动开展暗资产收集:通过扫描、人工梳理等一系列方式主动对企业暗资产进行梳理归档;
(2)企业被动接受暗资产被通报:因漏洞风险,未备案、或者其他原因被上级单位或监管单位通报后,企业回收记录资产信息。
A12:
资产测绘系统现在很成熟了,也能搜集暗资产。
A13:
资产测绘其实就是爬虫、扫描这种,和我上面提到的扫描一个意思。
A14:
之前很多不知道的资产是靠网安邮件提醒才知道。
A15:
资产有很多维度,传统的CMDB不够用了,扫描只能扫出基于IP或协议的资产,扫不出流量类型的、字段类型的、流媒体、音视频里面的信息。
A16:
给CMDB叠加属性标签就好了,问题不大。
A17:
问题大了,个人信息算不算资产?员工ID算不算资产?这些资产无法用CMDB来承载,太多的虚拟资产了,流量、压力、并发能力、处理能力,这些都是能力资产,CMDB累死都玩不好。
A18:
你不能这样想的,无论任何一套系统,他是有核心的功能和需求的,必然会围绕某些核心指标开展的。员工ID、个人信息可以往CMDB里承载,但是他的不是核心,他是资产组成的一部分,你可以理解为资产画像。
A19:
跨系统流量和能力咋办?属于隐形资产。
A20:
我觉得可以两方面思路解决:
第一:主从的方式,按照需求以一方的资产维度为核心进行资产标签、内容的整合;
第二:三方介入,重新开发个三方系统,把您说的跨系统(多方系统)的资产属性和需求放在第三方系统,然后整合。
A21:
针对第一点:声誉、形象、品牌这类跟谁挂钩?薪资标签?还是财务标签?还是劳工标签?没法弄;
第二点:第三方干不了。
A22:
你这些需求是独立的需求,完全是可以通过单独的系统实现,没必要非得让CMDB实现。第三方可以干,视需求而定,只是说需要看需不需要,值不值得。
A23:
这个引发了我的下一个问题:漏洞算不算资产?
A24:
我觉得漏洞算资产属性,不能单独说漏洞是资产。
A25:
漏洞算风险,漏洞利用方法是资产。
A26:
对,漏洞是依附于资产的,没有资产没有漏洞。
A27:
威胁算资产吗?
A28:
漏洞算资产属性,那威胁算资产标签。
A29:
漏洞不算风险,没被利用就不算,应该是威胁利用漏洞造成风险。
A30:
虽然漏洞经常被等同于脆弱性,我总觉得关系还有待捋,但是漏洞一定是资产的脆弱性,这个应该是成立的。
A31:
最近几年的政策要求都在提到一个术语,漏洞管理与漏洞分析,由于漏洞是真实存在的,也不可能完全消除,而且是个动态的过程,所以我就在想: 漏洞算不算一种负资产?
A32:
我认为,漏洞不算资产,从两个方面阐述。
第一个是这俩概念有先后的因果关系,先有了资产,资产因为没打补丁或者存在脆弱性,才被发现漏洞。
另外一个是,诸如楼上老哥说的,漏洞只是做风险评估时候时候的一个概念。安全的核心价值是保护资产安全,另外一个是保证安全投入 < 资产的年度损失。
A33:
漏洞是依托于引入的组件而存在的,我认为漏洞只能算资产的一种属性或者风险属性,而不是资产。
A34:
用零信任。
A35:
感觉现在的零信任都不是很成熟,很多其实是反向代理服务器加上用户权限控制对外就成零信任了。
A36:
我听过一个小众的方案,由于UDP是无连接的,向VPN设备特定UDP端口发送特定报文以后,该源IP被临时加白,然后就可以访问VPN的登录TCP端口。也就是说,这个机制没有泄露的话,外部人员无法扫描到VPN端口,UDP端口也是无法扫描到的。
A37:
有没有可能VPN程序本身就可以PWN,有些WEB端的逻辑漏洞一大堆还在。
A38:
另外就是,如果VPN端口本身用浏览器打不开,或者打开是个白的,必须完全用客户端访问。再就是能自定义这个端口的Banner,这样别人知道这个具体是何产品的难度加大了,直接把攻击者卡在信息收集这一步。
A39:
几乎每次HVV都有甲方使用安全厂商VPN被打趴下的 一打一大片,最好的办法是用SDWAN技术,当然很少企业会用成本比较高,所以暂时是你想求成本和安全寻找个平衡还是很难的,就算你用零信任也一样, 漏洞更多。这种0Day大招除了在北向网络上隐形,你没有好的办法,成本高。
A40:
SSLVPN和SDWAN啥关系?IPSEC和SDWAN才有关系。
A41:
把VPN隐藏起来,通过POP代理走流量,办公区和手机用CPE连接 ,在VPN 前有一个VCPE接力,这样不是你公司的员工和授信的终端无法直接访问隧道。这里面其实关键的问题在于VPN 暴露 ,谁能连接VPN,如果是家里移动办公连接怎么办?
A42:
那就有点类似运营商的VPDN了。
A43:
零信任就可以解决。
A44:
零信任解决不了,本质上是暴露面问题,零信任不用SDWAN还是暴露很多,端口API、应答IAM 等,漏洞更多 。技术上只有你把全部访问隐藏起来,并且给终端和移动办公授信才可以解决。
A45:
零信任的单包认证协议目前好像还没有能攻破的,移动端的话可以使用运营商的5G双域专网,很多附件都是部署在内网。
A46:
运营商可以基于手机流量做VPDN,这样的话有SIM卡鉴权,相对更安全。
本期话题讨论聊到了企业在互联网资产管理和攻击面收敛,大家讨论认为可以通过多种方式方法来进行管控约束。包括定期排查外部资产开放情况并进行渗透测试、攻防演练等检查,关闭不必要对外开放的系统,使用SDP进行收敛暴露面;对企业网络进行合理的拓扑设计和优化,减少网络暴露面和攻击路径,实施严格的权限管理和访问控制机制,定期进行漏洞扫描和安全评估,建立有效的安全策略和防护措施等。此外,还需要建立良好的管理制度,对资产开展全生命周期管理。
至于讨论到漏洞算不算资产,大部分人认为漏洞不算作资产,但是可以被视为资产属性或风险标签。漏洞是依托于引入的组件而存在的,没有资产就没有漏洞。因此,漏洞的管理和分析也是一个必要的过程,以保证企业资产的安全性。需要注意的是,安全投入应该小于资产的年度损失,从而实现对企业的安全保护。
A1:
开发连开发数据库,测试环境连测试数据库。
A2:
不行,生产环境不允许调试,除非测试环境没法重现问题。要是连生产调试,临时加一段代码把库拖走了怎么办?
A3:
除了互联网,金融比较重视开发的,其他不都是这么连的吗?
A4:
我们在做网络隔离,但基地好像做的太彻底了,把测试一起隔离了。
A5:
网络隔离很正常的,需求都开白名单。
A6:
开发连生产你们也放么?那比如他们说上线的系统需要去做排障,在测试无法复现怎么处理?
A7:
让运维导出日志。
A8:
能提这种要求的,说明日志应该也分析不出问题原因了。
A9:
其实是没有日志。
A10:
那放开吧,安全无所谓了。
A11:
算排查的,不要认为违反既定规则就是坏事,规则是死的人是活的,有利于组织解决问题,规则是可以适当的忽略。
A1:
基础架构和网络架构是三级,但是你的系统不是,还要另外做。
A2:
SaaS如果是人家的平台,等保你不需要,你们选择的时候做好资质评估、包括持证,组织架构、数据保护方案等,如果能提供你们SoC2的外部审计报告最好;如果是自己的SaaS平台,那就需要,但不需要三级,因为对内系统人员数量到不了三级这级别,除非对外部服务。
A3:
A4:
等保和定级备案是两个东西,一个公安,一个工信部。
A5:
备案是为了能使用WEB服务,包括域名解析等。人家的服务平台不需要,自己建平台必须。
A6:
看这个应该不是自己建的,云服务商、定级和备案还是有区别的,平台只是基础和网络架构,你系统如果还需要做等保备案还是需要额外做的。
A1:
私有化部署的系统,一样需要提供相关报告,和SaaS的没区别。
Q:
采购环节怎么提供等保报告呀,向我们这边私有部署客户就只买一个应用,其他的网络、数据库都是客户自己,怎么提供等保报告?
A2:
SaaS的最大安全风险,在于数据安全的问题,因为你的数据是托管在SaaS服务商的应用上的,这块着重关注一下你们公司对于数据安全的要求。
A3:
我说的是客户本地自己部署的那种,不是公有云服务的那种场景。
A4:
我知道,你一个系统对多个用户的,你提前做好相关的报告就行。
A5:
嗯,应用的渗透测试我觉得还勉强,但是客户现在要专业机构的白盒审计,这个怎么看?
A6:
看你们的情况,代码能否提供三方人员做代码审计(到你们公司在指定的环境下);签署保密协议,代码的审计工作全程在你们公司的一个封闭环境(断网,单机)下,所有的工具均有你们自己检测后上传,或者让他们人工就行。
上期话题回顾:
活动回顾:
活动预告:
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1100+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。